INTELIGIA
Droits des usagers Consentement RGPD

Consentement numérique - Recueil et gestion

Le recueil et la gestion du consentement numérique sont des obligations fondamentales pour les ESMS dans le cadre du RGPD et de la loi Informatique et Libertés. Le consentement doit être libre, spécifique, éclairé et univoque pour tout traitement de données personnelles de santé.

1. Définition et enjeux

Qu'est-ce que le consentement numérique ?

Le consentement numérique désigne l'accord explicite de la personne pour que ses données personnelles, notamment de santé, soient collectées, traitées, stockées et partagées dans un environnement numérique. Le RGPD définit le consentement comme :

"Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement."

Les 4 conditions du consentement valable

Pour être valable au sens du RGPD, le consentement doit respecter 4 conditions cumulatives :

  • Libre : donné sans contrainte, pression ou influence indue. La personne doit pouvoir refuser sans conséquence négative sur son accompagnement
  • Spécifique : donné pour une finalité précise et déterminée (exemple : alimentation de Mon Espace Santé, utilisation de la télémédecine, etc.)
  • Éclairé : la personne doit avoir reçu une information claire et complète sur l'utilisation de ses données avant de consentir
  • Univoque : exprimé par une action positive claire (case à cocher, signature électronique, etc.). Le silence ou l'inaction ne valent pas consentement

Attention : Le consentement aux soins médicaux n'est PAS le même que le consentement au traitement de données personnelles. Ce sont deux consentements distincts qui doivent être recueillis séparément.

Enjeux pour les ESMS

Pour les établissements et services médico-sociaux, le recueil du consentement concerne plusieurs domaines :

  • Alimentation de Mon Espace Santé : dépôt de documents dans l'espace numérique de santé de l'usager
  • Utilisation du DUI : dossier usager informatisé et son hébergement
  • Partage d'informations : avec partenaires (MDPH, ARS, professionnels de santé)
  • Télémédecine et télésanté : téléconsultations, téléexpertise, télésuivi
  • Biométrie et géolocalisation : dispositifs de sécurité pour usagers
  • Photographies et vidéos : prise et diffusion d'images

Consentement vs autres bases légales

Le consentement n'est pas toujours nécessaire pour traiter des données de santé. Le RGPD prévoit d'autres bases légales :

  • Intérêt légitime : pour les activités administratives et de gestion courante de l'établissement
  • Obligation légale : pour les déclarations réglementaires (CPOM, rapport d'activité, etc.)
  • Mission d'intérêt public : pour l'accompagnement médico-social des usagers
  • Sauvegarde des intérêts vitaux : en cas d'urgence vitale

Bon à savoir : Pour les actes de soins et d'accompagnement prévus au contrat de séjour, le consentement RGPD n'est généralement pas requis car la base légale est l'exécution du contrat et la mission d'intérêt public.

2. Obligations et exigences

Information préalable de la personne

Avant de recueillir le consentement, l'établissement doit informer la personne concernée de manière claire, transparente et compréhensible sur :

  • L'identité du responsable du traitement (nom de l'établissement)
  • Les coordonnées du Délégué à la Protection des Données (DPO)
  • La finalité précise du traitement (pourquoi les données sont collectées)
  • Les catégories de données collectées
  • Les destinataires des données (qui y aura accès)
  • La durée de conservation des données
  • L'existence du droit de retirer son consentement à tout moment
  • Les droits d'accès, rectification, effacement, limitation et portabilité
  • Le droit d'introduire une réclamation auprès de la CNIL

Modalités de recueil du consentement

Le consentement peut être recueilli par différents moyens :

  • Formulaire papier : document signé et daté par la personne
  • Formulaire numérique : case à cocher non pré-cochée, signature électronique
  • Interface web ou application : bouton d'acceptation explicite
  • Double opt-in : confirmation par email ou SMS pour validation

Pratiques interdites : Les cases pré-cochées, le silence, l'inaction et les consentements groupés pour plusieurs finalités différentes ne sont PAS valables au sens du RGPD.

Traçabilité du consentement

L'établissement doit être en mesure de démontrer qu'il a obtenu le consentement valable de la personne. Il doit donc conserver :

  • La preuve du recueil : formulaire signé, horodatage électronique
  • Le contenu de l'information fournie au moment du recueil
  • La date et l'heure du consentement
  • Le moyen par lequel le consentement a été recueilli
  • L'identité de la personne ayant recueilli le consentement (professionnel référent)

Opposition à l'alimentation de Mon Espace Santé

Le dispositif Mon Espace Santé (anciennement DMP - Dossier Médical Partagé) fonctionne sur le principe du consentement présumé avec possibilité d'opposition. L'usager peut :

  • S'opposer à la création de son espace (délai de 6 semaines après notification)
  • S'opposer à l'alimentation par certains professionnels ou établissements
  • Masquer certains documents à certains professionnels
  • Fermer son espace à tout moment

Les ESMS doivent respecter les choix exprimés par l'usager dans Mon Espace Santé et ne doivent pas alimenter l'espace en cas d'opposition.

Matrice d'habilitations

La matrice d'habilitations définit qui peut accéder à quelles données dans le DUI. Elle doit être établie en concertation avec l'usager ou son représentant légal et comprendre :

  • La liste des professionnels autorisés à accéder au dossier
  • Le niveau d'accès de chaque professionnel (lecture seule, modification, suppression)
  • Les catégories de données accessibles par profil (administratif, médical, social, etc.)
  • Les restrictions spécifiques demandées par l'usager (masquage de certaines informations)
  • La durée de validité des habilitations

Sécurité d'accès : La matrice d'habilitations doit être implémentée techniquement dans le DUI pour garantir que les restrictions définies sont effectivement appliquées.

Droit de retrait du consentement

La personne peut retirer son consentement à tout moment, aussi facilement qu'elle l'a donné. L'établissement doit :

  • Informer de l'existence de ce droit lors du recueil du consentement
  • Prévoir une procédure simple de retrait (formulaire, email, courrier)
  • Traiter la demande de retrait sans délai
  • Cesser immédiatement le traitement concerné
  • Conserver la trace du retrait

Le retrait du consentement ne remet pas en cause la licéité des traitements effectués avant le retrait.

3. Mise en œuvre pratique

Formulaires de consentement

Les formulaires de recueil du consentement doivent être clairs, concis et accessibles. Ils doivent comporter :

  • Un titre explicite indiquant l'objet du consentement
  • Une information complète conforme aux exigences RGPD (voir section Obligations)
  • Une case à cocher non pré-cochée pour chaque finalité
  • Des cases séparées si plusieurs finalités (pas de consentement groupé)
  • La mention du droit de retrait et de la procédure associée
  • Un espace pour la signature ou le bouton d'acceptation
  • La date de recueil du consentement

Exemple de mention de consentement

☐ J'accepte que mes données de santé soient déposées dans Mon Espace Santé afin de faciliter la coordination de mon accompagnement et le partage d'informations avec les professionnels de santé que je consulte.

Je comprends que je peux retirer ce consentement à tout moment en adressant un courrier à l'établissement ou via Mon Espace Santé. Le retrait de mon consentement n'aura pas d'impact sur la qualité de mon accompagnement.

Pour plus d'informations sur la gestion de mes données personnelles, je peux consulter la politique de confidentialité remise avec le livret d'accueil ou contacter le Délégué à la Protection des Données à l'adresse : dpo@etablissement.fr

Gestion des consentements dans le DUI

Le logiciel DUI doit permettre de gérer les consentements de manière structurée :

  • Module dédié pour enregistrer les consentements et oppositions
  • Horodatage automatique de chaque consentement ou retrait
  • Versioning : conservation de l'historique des modifications
  • Alertes : notification aux professionnels en cas d'opposition ou de retrait
  • Contrôle d'accès : restriction automatique selon la matrice d'habilitations
  • Export : possibilité d'extraire la preuve du consentement

Information et sensibilisation des usagers

L'information des usagers sur leurs droits doit être proactive et continue :

  • Livret d'accueil : notice d'information sur la protection des données
  • Affichage : affiches visibles dans les espaces communs
  • Entretien individuel : explication orale lors de l'admission
  • Documents FALC : versions en Facile à Lire et à Comprendre pour personnes en situation de handicap
  • Réunions CVS : présentation collective des dispositifs de protection des données

Formation des professionnels

Les professionnels de l'établissement doivent être formés à :

  • Expliquer clairement les enjeux du consentement aux usagers
  • Recueillir le consentement dans les règles (pas de pression, information complète)
  • Vérifier le statut du consentement avant tout partage de données
  • Respecter les oppositions et restrictions exprimées
  • Tracer les consentements dans le DUI
  • Traiter les demandes de retrait de consentement

Culture du consentement : Le respect du consentement est un pilier de la bientraitance et de la qualité de l'accompagnement. Il doit être intégré dans les pratiques quotidiennes de tous les professionnels.

Cas particuliers : personnes vulnérables

Pour les personnes mineures ou les majeurs protégés, le consentement doit être recueilli auprès :

  • Des titulaires de l'autorité parentale pour les mineurs
  • Du tuteur pour les majeurs sous tutelle (avec autorisation du juge si nécessaire)
  • De la personne concernée ET du curateur pour les majeurs sous curatelle
  • De la personne concernée pour les majeurs sous sauvegarde de justice (sauf incapacité)

Néanmoins, l'établissement doit toujours rechercher l'adhésion de la personne accompagnée, même lorsqu'elle n'est pas en capacité juridique de consentir.

4. Cadre réglementaire

Textes européens et nationaux

Lignes directrices CNIL

Droits des usagers

Le cadre juridique reconnaît plusieurs droits fondamentaux aux usagers :

  • Droit à l'information : être informé de l'utilisation de ses données (article 13 RGPD)
  • Droit d'accès : obtenir une copie de ses données (article 15 RGPD)
  • Droit de rectification : corriger des données inexactes (article 16 RGPD)
  • Droit à l'effacement : demander la suppression de ses données (article 17 RGPD)
  • Droit d'opposition : s'opposer à certains traitements (article 21 RGPD)
  • Droit à la limitation : limiter temporairement le traitement (article 18 RGPD)
  • Droit à la portabilité : récupérer ses données dans un format structuré (article 20 RGPD)

Équilibre des droits : Les droits des usagers doivent être mis en balance avec les obligations légales de l'établissement (conservation de certains documents pour des raisons légales ou d'intérêt public).

5. Ressources utiles

Sites officiels

CNIL - Commission Nationale de l'Informatique et des Libertés

Guides pratiques sur le recueil du consentement, modèles de formulaires et jurisprudence

Accéder au site cnil.fr →

Guides et modèles

Guide du consentement CNIL

Guide complet sur les conditions et modalités du consentement valable

Télécharger →

Modèles de formulaires

Exemples de mentions d'information et de recueil de consentement

Télécharger →

Guide RGPD pour ESMS

Guide pratique UNAF pour les professionnels du médico-social

Télécharger →

Mon Espace Santé

Informations sur le dispositif et la gestion des oppositions

Consulter →

Outils pratiques

Contact

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 place de Fontenoy - TSA 80715
75334 Paris Cedex 07
01 53 73 22 22
Formulaire de plainte en ligne ↗

6. Services liés

Conformité et sécurité

RGPD ESMS

Protection des données personnelles et conformité RGPD

PGSSI-S

Politique de sécurité des systèmes d'information

DUI

Dossier Usager Informatisé avec gestion des consentements

Certification HDS

Hébergement sécurisé des données de santé

Besoin d'aide pour gérer les consentements de vos usagers ?

INTELIGIA vous accompagne dans la mise en place de processus de recueil et de gestion du consentement conformes au RGPD.

Contactez-nous